IOT a zabezpečení LAN (separátní virtuální sítě a komunikace mezi nimi)

Dotaz: Víte o nějakém, přehledném, pro laika srozumitelném online obsahu o tvorbě virtuálních sítí a jejich komunikaci mezi nimi?

Co mě trápí: Bezpečnost vlastní sítě.

Současný stav: V jedné LAN mám několik telefonů, počítačů, NAS s dockerem, další server s Dockerem, televizi, různé smart brány (HUE, FLIC, atp.), ale hlavně až děsivé množství různých IOT prvků a zařízení, které kontroluju pomocí Home Assistant. Trápí mě, že pokud někdo prolomí byť jediný IOT prvek, dostane se do sítě, kde mám důležitá data (PC a NAS ) a to bych vážně nerad. Návštěvy směruju na síť pro hosty, ale potřebuju, aby tyto hosty uměl zachytit právě i Home assistant.

Moje znalosti: V podstatě základní. Zvládnu přidělení statických IP adres a směrování/zakázání portů na jedné síti  (router Omnia), ale nějaké hlubší znalosti nemám. Nemám zkušenost, jak vytvořit další síť s jiným rozsahem IP adres tak, abych mohl navíc určit, která zařízení se mohou vzájemně 'vidět'. Potřebuju větší osvětu.

Beru cokoli... videa, texty, hlavně ať je to srozumitelný :) Ideálně praktické zkušenosti, ukázky atp. Překvapuje mě, že je milion článků o chytré domácnosti, ale minimum srozumitelných o související bezpečnosti. Dííky!


Tak asi víte co chcete - VLANy. Podle mě nejlepším řešením bude se naučit teorii co to vlastně je, stačí nějaké video na YT a pak prakticky už jen zkoušet s těmi síťovými prvky co máte doma a config dělat podle dokumentace daného prvku.

tiez nieco podobne riesim, siet mam postavenu na mikrotikoch, takze jedna izolovana wifi+par ethernet portov pre IoT, druha wifi siet pre hosti, tretia moja domaca. Oddelene to bude cez vlan, a aby som mohol z mojej siete pristupovat na iot server, tak tam bude povoleny jediny port, z mojej siete na iot server.

Základní zabezpečení je přes firewall.
Já to nepovažuju za dostatečné, je to náchylné na konfigurační chyby a zranitelné poměrně lehce, pokud se objeví chyba v routeru.

Pro síť s více segmenty bych nejprve volil rozdělení na L2, tedy VLAN a na routeru VRF.
Teprve nad to firewall.

Mě, když jsem se snažil pochopit pokročilejší síťování, VLANy a routování mezi nimi, strašně moc pomohl https://www.samuraj-cz.com/clanky-kategorie/site/. Sice je to psané jakoby pro uživatele Cisca, ale má to velice přehledně a čitelně (a česky).


Mě, když jsem se snažil pochopit pokročilejší síťování, VLANy a routování mezi nimi, strašně moc pomohl https://www.samuraj-cz.com/clanky-kategorie/site/. Sice je to psané jakoby pro uživatele Cisca, ale má to velice přehledně a čitelně (a česky).
Souhlasím a doporučuji!

jedna varianta je si to nastavovat sám a učit se to tímto způsobem, druhá varianta je si zaplatit konzultaci a nechat si řešení navrhnout nebo alespoň zkontrolovat - zablokovanou komunikaci při testování odhalíte, ale prostupy tam, kde být nemají už hůře

zablokovanou komunikaci při testování odhalíte, ale prostupy tam, kde být nemají už hůře

S tím se dá jedině souhlasit. Nicméně dá se tomu do nemalé míry předejít tak, že se nastaví jako výchozí politika, že všechno se má zahazovat, a z toho se pak dělají výjimky pro konkrétní žádoucí případy. Pochopitelně ale ani to není neprůstřelné.

Mě, když jsem se snažil pochopit pokročilejší síťování, VLANy a routování mezi nimi, strašně moc pomohl https://www.samuraj-cz.com/clanky-kategorie/site/...

Díky za tip!

zablokovanou komunikaci při testování odhalíte, ale prostupy tam, kde být nemají už hůře

S tím se dá jedině souhlasit. Nicméně dá se tomu do nemalé míry předejít tak, že se nastaví jako výchozí politika, že všechno se má zahazovat, a z toho se pak dělají výjimky pro konkrétní žádoucí případy. Pochopitelně ale ani to není neprůstřelné.

Jasně, takhle u nás kdysi nastavovali v práci firewall: "všechno zakážeme a postupně se bude povolovat". Dělal to údajně vyhlášenej expert přes bezpečnost a trvalo hodně dlouho - v řádu měsíců - než se všechno rozjelo a komunikovalo, jak mělo... ale bezpečnost se asi jinak naroubovat nedá.

Vlastně i proto pořád odkládám přesun prvků do různých VLAN, protože potřebuju čas nejen na pochopení, jak to celé provést a nakonfigurovat, ale hlavně pak spoustu času na testování a odladění. A moc se mi do toho zatím nechce, když to teď celé všechno funguje, jak má. A co hůř, už jsem na funkci celé chytré domácnosti v podstatě závislej. Experta si najímat nechci, zaprvé žádnýho takovýho neznám, zadruhé bych si to raději nastavil sám.

Trošku ve mě hrklo, když mi minulý týden z ničehonic lametric začal streamovat ruský hip-hop ze spotify, aniž bych s čímkoli manipuloval. Podle logu se mi na wifi nikdo nedostal, ale vzhledem k tomu, že jsem obklopenej spousty mladejch a zřejmě i schopnejch sousedů z východní části Evropy nemám jistotu, že si na mě někdo něco netrénuje.

Začal bych asi tím, že bych oddělil servery a počítač do jedné samostatné sítě a smart prvky, senzory, brány, home assistant do sítě druhé. Otázkou, jestli i tyto prvky nějak členit do různých sítí. No a mobilní telefon... ten bych potřeboval, aby byl schopnej "vidět" do obou sítí, protože konfiguruje smart prvky, ale současně vyměňuje data s NAS i počítačem přes LAN. Obecně promyslet, která cesta je správná to bude asi ta největší fuška.


Obecně: Nastavit VLANy, pro ně samostatné subnety a na routeru pravidla pro provoz mezi subnety. U wifin nastavit heslo a přístupový list přes MAC, kterým určíte kdo se kam může připojovat + jednu wifi pro hosty. To by mohlo cca stačit, resp. budete na tom lépe než většina jiných domácích sítí :) Praktická realizace záleží trochu na tom, jaký hardware tam máte nebo chcete mít.